Professional Documents
Culture Documents
1. 2.
Common Designs
LAN-to-Internet Public Servers
Determinar las zonas: la infraestructura de red debe ser dividida en zonas con diferentes niveles de seguridad. Establecimiento de polticas entre las zonas: para cada par de zonas origen-destino se define la sesin que los clientes en las zonas de origen pueden solicitar de los servidores en las zonas de destino. Generalmente, sesiones TCP o UDP, tambin pueden ser ICMP Diseo de la infraestructura fsica: el administrador debe disear la infraestructura fsica tomando en cuenta los requerimiento de seguridad y disponibilidad (redundancia). Identificacin de subconjuntos en las zonas y fusin de requerimientos de trfico: en cada dispositivo firewall del diseo, el administrador debe identificar subconjuntos en las zonas conectadas a sus interfaces y unir los requerimientos de trfico en esas
3.
Redundant Firewalls
Complex Firewall
4.
Actions
El firewall IOS de poltica basada en zonas puede llevar a cabo tres posibles acciones:
Inspect inspeccin de paquetes por estados (stateful), equivalente al comando CBAC ip inspect.
Pass anlogo a la sentencia ACL permit. No monitorea, permite el trfico en una sola direccin.
Debe configurarse la zona antes de que el administrador pueda asignar interfaces a ella. Si el trfico debe fluir entre todas las interfaces de un router, cada interfaz debe ser miembro de una zona. El administrador puede asignar una interfaz a slo una zona de seguridad. El flujo del trfico se permite implcitamente entre las interfaces que pertenecen a la misma zona. Para permitir el trfico desde y hacia una interfaz que pertenece a una zona, debe configurarse una poltica que permita o inspeccione el trfico entre esa zona y cualquier otra. El trfico no puede fluir entre una interfaz perteneciente a una zona y cualquier otra interfaz que no pertenezca a esa zona. El administrador puede aplicar acciones de paso, inspeccin y descarte slo entre dos zonas. Las interfaces que no han sido asignadas a una zona pueden usar la configuracin CBAC de inspeccin de paquetes con estados. Si un administrador no desea que una interfaz en el router sea parte de la poltica de firewall basado en zonas, puede ser necesario colocar esa interfaz en una zona y configurar una poltica que deje pasar todo (tambin conocida como poltica falsa) entre esa zona y cualquier otra zona a la que se desee que fluya el trfico.
No impact of zoning/policy No policy lookup (PASS) DROP DROP DROP DROP policy actions
3. Specify firewall policies with 4. Apply firewall policies to pairs of source and destination zones with the policy-map type zone-pair security inspect command 5. Assign router interfaces to zones using the zone-member security interface command
FW(config)# zone security Inside FW(config-sec-zone)# description Inside network FW(config)# zone security Outside FW(config-sec-zone)# description Outside network
FW(config)# class-map type inspect FOREXAMPLE FW(config-cmap)# match access-group 101 FW(config-cmap)# match protocol tcp FW(config-cmap)# match protocol udp FW(config-cmap)# match protocol icmp FW(config-cmap)# exit FW(config)# access-list 101 permit ip 10.0.0.0 0.0.0.255 any
FW(config)# policy-map type inspect InsideToOutside FW(config-pmap)# class type inspect FOREXAMPLE FW(config-pmap-c)# inspect
Step 4: Assign Policy Maps to Zone Pairs and Assign Router Interfaces to Zones
FW(config)# zone-pair security InsideToOutside source Inside destination Outside FW(config-sec-zone-pair)# description Internet Access FW(config-sec-zone-pair)# service-policy type inspect InsideToOutside FW(config-sec-zone-pair)# interface F0/0 FW(config-if)# zone-member security Inside FW(config-if)# interface S0/0/0.100 point-to-point FW(config-if)# zone-member security Outside